24.Tätigkeitsbericht 2016/17 - Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter - Bundespublikationen
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Tätigkeitsbericht 2016/2017 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat der Bundesversammlung periodisch einen Bericht über seine Tätigkeit vorzulegen (Art. 30 DSG). Der vorliegende Bericht deckt den Zeitraum zwischen 1. April 2016 und 31. März 2017 ab.
Inhaltsverzeichnis Vorwort Aktuelle Herausforderungen und Schwerpunkte I Veränderte technologische und gesellschaftliche Verhältnisse 6 II Ausdehnung und Beschleunigung der Kontrolltätigkeit des EDÖB 7 III Veränderte Erwartungen an den EDÖB 7 IV Nationale und internationale Kooperation des EDÖB 8 V Massnahmen des EDÖB zur Effizienzsteigerung 8 1 Datenschutz 1.1 Grundrechte 12 1.1.1 Verwendung der AHV-Nummer in Registern: Einheitsidentifikator versus sektorenspezifische Lösung 12 1.1.2 Vernichtung und Löschung der bei der Bevölkerungszählung erhobenen Daten 12 1.1.3 Nutzung der elektronischen Infrastruktur des Bundes: Sachverhaltsabklärungen beim Eidgenössischen Personalamt und beim Bundesamt für Bauten und Logistik 13 1.1.4 Nationaler Adressdienst 13 1.1.5 Videoaufnahmen in Schwimmbädern zu Trainingszwecken 14 1.2 Datenschutzfragen allgemein 15 1.2.1 Revision des Bundesgesetzes über den Datenschutz 15 1.2.2 Strategie «Digitale Schweiz» 16 1.2.3 Öffentlicher Verkehr: Umsetzung der Empfehlung in Sachen SwissPass und weitere Beratung 16 1.2.4 Elektronisches Ticketing 17 1.3 Internet und Telekommunikation 18 1.3.1 Abschluss der Sachverhaltsabklärung zu Windows 10 18 1.3.2 Neue Datenschutzbestimmungen von Swisscom 18 1.3.3 Datenschutzaspekte beim Internetprotokoll IPv6 19 1.4 Justiz, Polizei, Sicherheit 20 1.4.1 Gesetz zur elektronischen Identität 20 1.4.2 Überwachung des Post- und Fernmeldeverkehrs – Totalrevision der Verordnungen 20 1.4.3 Koordinationsgruppe der schweizerischen Datenschutzbehörden im Rahmen der Schengen-Abkommen 21 1.5 Gesundheit und Forschung 22 1.5.1 Ausführungsbestimmungen zum Bundesgesetz über das elektronische Patientendossier 22 1.5.2 Projekt BAGSAN des Bundesamts für Gesundheit 22 1.5.3 Auslagerung der Rechnungsstellung im medizinischen Bereich 23 1.6 Versicherungen 24 1.6.1 Die Entbindung von der Schweigepf licht im Rahmen eines IV-Verfahrens 24 1.6.2 Kontrolle der Datenannahmestellen der Krankenversicherer 25 1.6.3 Zentrales Informationssystem zur Bekämpfung von Versicherungsmissbrauch 25 1.6.4 Einsatz von Fitnesstrackern im Versicherungsbereich 26 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
1.7 Arbeitsbereich 27 1.7.1 Sachverhaltsabklärung zu eRecruiting und Bewerbungsdossiers in der Bundesverwaltung 27 1.8 Handel und Wirtschaft 28 1.8.1 Swiss-U.S. Privacy Shield 28 1.8.2 Wirtschaftsauskunftei Moneyhouse – Klage vor Bundesverwaltungsgericht 28 1.8.3 Verordnungen zur Energiestrategie 2050 29 1.9 Finanzen 31 1.9.1 Bekanntgabe von Personendaten an ausländische Steuerbehörden 31 1.10 International 34 1.10.1 Internationale Zusammenarbeit 34 1.10.2 Aufsichtskoordinationsgruppen SIS II, VIS und Eurodac 36 1.10.3 Arbeitsgruppe «Border, Travel & Law Enforcement» 36 1.10.4 Arbeitsgruppe für Datenschutz und internationale humanitäre Hilfe 37 2 Öffentlichkeitsprinzip 2.1 Zugangsgesuche 40 2.1.1 Departemente und Bundesämter 40 2.1.2 Parlamentsdienste 40 2.1.3 Bundesanwaltschaft 40 2.2 Schlichtungsanträge 41 2.3 Ämterkonsultationen 42 2.3.1 Einschränkung des Öffentlichkeitsprinzips bei der Aufsicht über den öffentlichen Verkehr 42 2.3.2 Zugang zu Dokumenten über das öffentliche Beschaffungswesen 42 2.3.3 Verordnung über den Nachrichtendienst 43 2.4 Varia 44 2.4.1 Neue Arbeitsmethode bei der Durchführung von Schlichtungsverfahren 44 2.4.2 Veranstaltung 10 Jahre Öffentlichkeitsgesetz 44 3 Der EDÖB 3.1 Aufgaben und Ressourcen 46 3.2 11. Datenschutztag – Grenzen der Videoüberwachung 48 3.3 Publikationen und Veranstaltungsteilnahmen 48 3.4 Statistiken 49 3.4.1 Statistiken über die Tätigkeiten des EDÖB vom 1. April 2016 bis 31. März 2016 49 3.4.2 Statistiken über eingereichte Zugangsgesuche nach Öffentlichkeitsgesetz vom 1. Januar 2016 bis am 31. Dezember 2016 50 3.5 Das Sekretariat des EDÖB 56 Abkürzungsverzeichnis 58 24. Tätigkeitsbericht 2016/17
Vorwort Fast jedes Land will zurzeit die Chancen der Digitalisierung packen und seine Bevölkerung daran teilhaben lassen. Unter anderen in den Bereichen Verkehr und Gesundheitswesen treibt auch die Schweiz Grossprojekte voran, für die wir als Bürgerinnen und Bürger in unseren alltäglichen Rollen als Kunden, Patienten oder Reisende eine Fülle von Daten verfügbar machen sollen. Ob wir das wollen und dem digitalen Experiment unser Vertrauen schenken, hängt davon ab, ob sich transparente, faire und auf Minderheiten Rücksicht nehmende Online-Praktiken oder digitale Bevormundung, Aushorchung und Übertölpelung durchsetzen. Letzterem wirken der behördliche und betriebliche Datenschutz entgegen, indem sie frühzeitig darauf Einfluss nehmen, dass Telematik und Robotik den grundrechtlichen Anspruch der Menschen auf ein freies und selbstbestimmtes Leben unterstützen, statt zu gefährden. Angesichts der experimentellen Realität der Digitalisierung braucht es dafür nach meiner Überzeugung nebst neuer Regulierung einen pragmatischen Datenschutz, der zuweilen auch unkonventionelle Wege gehen muss, um neuen rechtlichen und technischen Instrumenten zum Schutz der Privatsphäre und zur informationellen Selbstbestimmung Akzeptanz und Wirkung zu verleihen. Weiter braucht es glaubwürdige Befugnisse und Mittel, damit der Daten- schutz Grossprojekte zufriedenstellend begleiten und eine angemessene Dichte an Kontrollen entfalten kann. Adrian Lobsiger Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter 24. Tätigkeitsbericht 2016/17 5
Aktuelle Herausforderungen und Schwerpunkte I Veränderte technologische und besitzen die wertvollsten Marken. Mit Ihren «Gratis- gesellschaftliche Verhältnisse Angeboten» erreichen sie Leute rund um den Globus und generieren damit enorme Datenbestände, die sie Am 21. Dezember 2016 schickte der Bundesrat den gewinnbringend verwerten, sodass das Geschäftsmodell Vorentwurf zu einer Totalrevision des Bundesgesetzes von «Big Data» immer mehr Nachahmer findet und sich über den Datenschutz (E-DSG) in die Vernehmlassung. allmählich in allen Branchen der Wirtschaft durchsetzt. Zur Begründung führte er an, dass er «den Datenschutz Über die Verwertung riesiger und schnell wachsender stärken und an die veränderten technologischen und Datenbestände generieren die Bearbeitungsverantwort- gesellschaftlichen Verhältnisse anpassen» wolle. Diese lichen Erkenntnisse, die inzwischen Rückschlüsse auf Entwicklungen werden nachfolgend kurz skizziert. Verhaltensweisen und Präferenzen von Milliarden von Menschen zulassen, die täglich deren Online-Dienste in Technologie und Wirtschaft Anspruch nehmen. Als Antwort auf diese Entwicklung Seit dem Marktauftritt des ersten iPhones im Jahre 2007 haben der Europarat mit der Konvention 108 und die akzentuiert sich die Dynamik der Informations- und Te- EU mit ihrer Datenschutz Grundverordnung (DSGVO) lekommunikationstechnologie (IKT). Nach den Smart- Schritte zu einem einheitlichen Datenschutzrecht ein- phones werden immer mehr Alltagsgeräte mit leistungs- geleitet, das über seine Instrumente zur Wahrung eines fähigen Prozessoren, Sensoren und Netzwerkmodulen äquivalenten Schutzniveaus auch auf Drittstaaten wie ausgestattet. Über das Internet tauschen diese Geräte die Schweiz oder die USA ausstrahlt. Im Kern zielen diese teilweise sogar ohne Interaktionen der Benutzer grosse Regelwerke darauf ab, Datenmengen über die User und deren Umgebung aus. • die Anbieter von datenhungrigen Online-Ange- Die Bearbeitung erfolgt in weltweit verteilten Rechen- boten zu verpflichten, Art, Inhalt und Umfang der zentren unter Einsatz von Prozeduren (Algorithmen) zu beschafften Daten offenzulegen. Die Kunden sollen unterschiedlichsten Zwecken. Die Technologie ist soweit wissen, welche Bearbeitungen über den betriebs- fortgeschritten, dass gewissen Systemen «künstliche sicheren Gebrauch einer Applikation hinausgehen Intelligenz» zugeschrieben wird, weil sie in der Lage sind, und diese demzufolge, falls nicht gewünscht, weg- autonom von unmittelbaren Steuerimpulsen von Men- bedingen oder stoppen können; schen in Echtzeit zu agieren. • die Datenschutz-Kompetenzen der Verantwortli- Die technologischen Errungenschaften der IKT chen zu stärken und diese dazu zu verpflichten, nach wären heute nicht allgegenwärtig ohne die globalisierte Massgabe der Grundsätze von «privacy by design» Wirtschaft, die aus der IKT-gestützten Erhebung, Analy- (Einbezug des Datenschutzes in der Projektphase) se und Weitergabe von grossen Datenmengen (Big Data) und «privacy by default» (datenschutzfreundliche ein Geschäftsmodell entwickelt hat und die Haushalte Voreinstellungen) frühzeitig das Risiko von Persön- und Unternehmen mit leistungsfähigeren und preis- lichkeitsverletzungen zu verringern; günstigeren IKT-Geräten versorgt. • das Zusammenwirken des internen Datenschutzes von Unternehmen und Behörden mit den Daten- Gesellschaft, Politik und Recht schutzbehörden zu fördern; Die Versorgung der Freizeit- und Arbeitswelten mit im- • die Befugnisse der Datenschutzbehörden auszubau- mer kompakterer IKT und ein durch das Smartphone ge- en und deren Arbeitsmethoden an das verstärkte prägter Online-Lebensstil führten zum gesellschaftlichen Zusammenwirken mit den Anwendungsverant- Phänomen der Digitalisierung. Nebst den erwünschten wortlichen anzupassen. Auswirkungen und Chancen führt der gesellschaftliche Umgang mit IKT zu Risiken, die von unerwünschten Wie nachfolgend gezeigt wird, führt das beschriebene Eingriffen in die informationelle Selbstbestimmung und technologische und gesellschaftliche Umfeld zu einer Privatsphäre der Individuen bis hin zu Kontrollverlusten Reihe von behördenspezifischen Herausforderungen, über grosse Datenbestände reichen. mit denen die Datenschutzstelle des Bundes konfrontiert Die Digitalisierung wurde durch die weltweite ist: Liberalisierung der Telekommunikationsmärkte und den Preiszerfall von elektronischen Komponenten beschleunigt, was zu einer Vielzahl von global tätigen IKT-Anbietern geführt hat. Mittlerweile gehören diese zu den kapitalkräftigsten Unternehmen weltweit und 6 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
II Ausdehnung und Beschleunigung Angesichts der grossen Zahl von Userinnen und Usern der Kontrolltätigkeit des EDÖB sind diese Erwartungen der Schweizer Öffentlichkeit berechtigt. Der EDÖB hat deshalb die Online-Kultur Das Konzept von Big Data führt dazu, dass heute nicht nur und Konsumenten-Apps in seine Informations- und die vom EDÖB zu beaufsichtigende Wirtschaft, sondern Aufsichtstätigkeit einbezogen. Die Glaubwürdigkeit des auch die Bundesverwaltung und Bundesbetriebe eine EDÖB als Fachbehörde setzt dabei Abklärungen techno- Vielzahl von Applikationen betreiben oder entwickeln, logischer Wirkungsweisen voraus, welche in ihrer Tiefe die auf grossen Datenbeständen beruhen, welche die über die von den Medien geschilderte Faktenlage hinaus- Bürgerinnen und Bürger in ihren alltäglichen Rollen als reichen. Mit dem Betrieb einer Hotline, der Stärkung sei- Kunden, Patienten, oder Reisende speisen. Obwohl die ner personellen IT-Kompetenz sowie dem Aufbau eines Verantwortlichen die beschafften Datenbestände meist rudimentären IT-Labors, mit dem gängige Smartphone- nicht oder nur teilweise personenbezogen auswerten, Applikationen und andere Online-Angebote in Bezug auf besteht aufgrund der Leistungsfähigkeit moderner Such- ihre Datenschutzfreundlichkeit getestet werden, trägt maschinen das Risiko einer Re-Identifizierung einzelner der EDÖB den dringendsten Bedürfnissen Rechnung. Personen. Der EDÖB muss seine Aufsichtstätigkeit des- Auf Wunsch privater Unternehmen und staatsna- halb auf eine Vielzahl von Projekten der Bundesbehörden her Bundesbetriebe ist der EDÖB vermehrt dazu über- und der Wirtschaft ausdehnen, mit denen diese wissen- gegangen, umfassende Projekte, welche die Bearbeitung schaftliche, statistische sowie technische oder adminis- grosser Mengen an Daten aus menschlichen Quellen trative Zwecke ohne Personenbezug verfolgen. Er muss zum Gegenstand haben, beratend zu begleiten. Dieses sich vergewissern, dass die erhobenen Informationen in Bedürfnis nach möglichst frühzeitiger Projektberatung einer Art und Weise anonymisiert werden, die eine Re- leitet sich aus der gewandelten Arbeitsweise der Rechts- Identifizierung nach dem aktuellen Stand der Technik und Datenschutzstellen dieser Betriebe ab, die Projekte mit hinreichender Wahrscheinlichkeit ausschliesst. Weil von Beginn an auf ihre Datenschutzkonformität hin anonymisierte Daten auch mit den über das Internet zu- überprüfen, wie dies das vom E-DSG statuierte Prinzip gänglichen Informationen abgeglichen werden können, von «privacy by design» vorschreibt. erweist sich diese Arbeit für den EDÖB als anspruchsvoll Da Kontrollen des EDÖB bei bereits realisierten und zeitintensiv. Er muss die entsprechenden Projekte Applikationen zu kostspieligen und reputationsschä- interdisziplinär, d.h. juristisch und technisch begleiten. digenden nachträglichen Korrekturen führen können, Applikationen zur Bearbeitung von Personendaten findet «privacy by design» bei vielen Betrieben Anklang; werden heute in der Regel nicht mehr zur lokalen Instal- insbesondere wenn diese Methode mit einer phasen- lation ausgeliefert, sondern über das Internet zugänglich weisen Beurteilung wichtiger Projektschritte durch die gemacht und laufend weiterentwickelt und so z. B. online Datenschutzbehörde gekoppelt werden kann. Für den gegen Malware geschützt oder mit neuen Funktionen EDÖB ist eine beratende und beaufsichtigende Aufga- ausgestattet. Das bedeutet, dass die Kontrollen der sich ben kombinierende Arbeitsweise mit dem Vorteil einer laufend verändernden Applikationen anspruchsvoller frühzeitigen Minderung datenschutzrelevanter Risiken geworden sind und auch rascher abgeschlossen werden verbunden. So kann er auch auf kurzlebige Applikationen müssen als früher. Einfluss nehmen, die sich über langwierige Verfügungs- oder gar Sanktionsverfahren nur beschränkt beeinflussen liessen. III Veränderte Erwartungen Als aktuelle Beispiele lassen sich Grossprojekte wie an den EDÖB Mobility Pricing der öffentlichen Verkehrsbetriebe und des UVEK, Sesam von Post und SBB, TWINT von Post Der digitale Lebensstil ist von einer Sorglosigkeit im und Banken oder Admeira von Swisscom, SRG und Rin- Umgang mit IKT geprägt, die abrupt in öffentliche Ent- gier anführen. rüstung umzuschlagen pflegt, sobald Medien oder Kon- sumentenschutzorganisationen eine Massenapplikation wegen angeblich unerlaubter Eingriffe in die Privatsphäre kritisieren. Die Öffentlichkeit erwartet, dass der EDÖB zumindest bezüglich der aktuell gängigsten Applikatio- nen, die oft gratis im Netz verfügbar sind, proaktiv über Risiken informiert. Gleichzeitig soll er Möglichkeiten zur Wahrung der Privatsphäre aufzeigen und im Rahmen von aufsichtsrechtlichen Verfahren die Datenschutzkon- formität solcher Massenapplikationen durchsetzen. 24. Tätigkeitsbericht 2016/17 7
IV Nationale und internationale verankerten Prinzipien umsetzen. Ganz besonders dürf- Kooperation des EDÖB te dies gegenüber der Schweiz der Fall sein, die als asso- ziiertes Mitglied von Schengen-Dublin grosse Mengen Weil die Datenschutzbehörden von Bund und Kantonen sensibler Behördendaten mit der EU austauscht. in weiten Teilen mit den gleichen Entwicklungen und Vor diesem Hintergrund wird deutlich, dass der Technologien zur Bearbeitung von Personendaten kon- EDÖB als primäre Ansprechstelle für die ihrerseits frontiert sind, strebt der EDÖB vor dem Hintergrund der unabhängigen Datenschutzorgane der EU und ihrer Mit- Digitalisierung eine Intensivierung seiner Kontaktpflege gliedstaaten präsent und wahrnehmbar sein muss. Das mit den kantonalen Datenschutzbehörden an. Deren bedingt, dass er auch an den diversen internationalen Zusammenarbeit wird durch den Verein «privatim» in- Veranstaltungen angemessen vertreten und in der Lage terkantonal koordiniert. sein muss, den damit verbundenen Aufwand zu leisten. Ein anschauliches Beispiel für die Notwendigkeit Dies auch mit Blick auf die EU-Richtlinie 2016/680, einer engen Zusammenarbeit ist die vom Bundesrat ge- welche verlangt, dass der EDÖB in die Arbeiten des EU- plante Einführung der nicht sprechenden AHV-Nummer Datenschutzkomitees eingebunden wird. 13 als universeller Identifikator für die Verwaltungen von Bund, Kantonen und Gemeinden. Es liegt auf der Hand, dass dieses Vorhaben mit Blick auf die technologischen V Massnahmen des EDÖB Risiken von unerwünschten Re-Identifikationen durch zur Effizienzsteigerung die Datenschutzstellen des Bundes und der Kantone gemeinsam beurteilt werden muss. Zur Bewältigung der behördenspezifischen Herausfor- Im internationalen Bereich zeichnen sich folgende derungen und der damit einhergehenden Erwartungs- neuen Aufgaben ab: haltungen der Wirtschaft und Behörden wie auch der Öffentlichkeit hat der EDÖB in der Berichtsperiode Privacy Shield 2016/2017 eine Reihe von Massnahmen zum effizien- Durch das Internet und die Dominanz der kaliforni- ten Einsatz seiner Mittel realisiert. schen IT-Industrie, die gigantische Rechenzentren oder Aufgrund der dargelegten Herausforderungen hat Clouds betreibt, in denen biometrische und andere der EDÖB folgende strategischen Schwerpunkte gesetzt: Personendaten von Millionen von Schweizer Nutzern • Stärkung der eigenen Kompetenzen bezüglich bearbeitet werden, ist die Beurteilung der Übermittlung Technologien sowie Geschäfts- und Kommunikati- von Personendaten ins Ausland zu einem wichtigen Teil onsmodelle der digitalen Gesellschaft; der Aufsichtstätigkeit des EDÖB geworden. Damit sich • Beratende Begleitung relevanter Projekte von Be- die neue Regelung «Privacy Shield», die im Januar 2017 hörden und Wirtschaft; zwischen der Schweiz und den USA abgeschlossen wur- • Wahrnehmbare Präsenz für die betroffenen Bürge- de, im Gegensatz zu dem vom EuGH kassierten «Safe rinnen und Bürger in der Schweiz. Harbor»-Abkommen etablieren und an die aktuellen Ausgehend von dieser Strategie wurde für das Jahr 2017 Bedürfnisse anpassen kann, wurden mit den USA jähr- ein Plan erarbeitet, der die beratende Begleitung von zehn liche Evaluationen vereinbart. Diese werden vom SECO grösseren Projekten sowie acht umfassendere Kontrollen angeführt und durch den EDÖB begleitet und mit einer vorsieht (vgl. dazu Ziffer 3.1.1 des vorliegenden Tätig- eigenständigen Berichterstattung abgeschlossen. keitsberichts). Vergemeinschaftung des Datenschutzes in der EU Reorganisation der Behörde Am 1. Mai 2018 wird die EU ihre Datenschutz Grund- Die strategische und operative Fokussierung auf die verordnung (DSGVO) in Kraft setzen, welche auch Digitalisierung wird durch eine finanzneutrale Reorga- für Applikationsverantwortliche in der Schweiz zur nisation der Behörde unterstützt, die am 1. April 2017 Anwendung gelangt, soweit sie Daten von Bürgern in in Kraft getreten ist. Sie zielt darauf ab, die technischen der EU bearbeiten. Mit diesem Regelwerk werden die Kompetenzen der Behörde zu stärken und deren Leitung Datenschutzgesetze der einzelnen EU-Mitgliedstaaten von alltäglichen Querschnittsaufgaben zu entlasten: aufgehoben. Die nationalen Datenschutzbehörden werden ihre Aufsichtstätigkeiten inskünftig intensiver aufeinander abstimmen. Angesichts der unionsweiten Bündelung des Datenschutzes und der extraterritorialen Anwendung der DSGVO ist davon auszugehen, dass die EU Einfluss darauf nehmen wird, wie Drittstaaten die in der DSGVO 8 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Alle traditionellen Stabs- und Querschnittsaufgaben wie Geschäftskontrolle, Kommunikation, Finanzen wurden in die neu gebildete Einheit Kompetenzzent- ren überführt (vgl. dazu das Organigramm des EDÖB: www.derbeauftragte.ch, Der EDÖB – Organisation). Dort werden u.a.: • alle technischen Kompetenzen für die Unterstüt- zung der datenschutzrechtlichen Verfahren und die eigene Weiterbildung gebündelt; • aktuelle Entwicklungen der Digitalisierung analy- siert. Die beiden bisherigen Einheiten zum Vollzug des DSG wurden unter Bildung dreier Teams zusammengefasst. Eine erneuerte Laborumgebung ermöglicht das Austesten von Consumer-Apps, IKT-Produkten oder sozialen Netzwerken. Bei besonderen technischen Fra- gestellungen kann der EDÖB das BAKOM und den ISB (MELANI) amtshilfeweise um fachliche Unterstützung angehen. Konzeptionelle Erneuerung des Informationsangebots Der EDÖB beantwortete 2016 rund 3500 mündliche und schriftliche Anfragen von Bürgerinnen und Bürgern, Firmen und Organisationen. Zudem veröffentlichte er auf seiner Webseite ein breites Angebot von Informatio- nen über technologische Entwicklungen mit praktischen Ratschlägen sowie sämtliche formellen Empfehlungen, die er im Zuge seiner Aufsichtstätigkeit erlässt. Dieses Angebot wurde zusammen mit dem Geschäftsbericht einer konzeptionellen Überarbeitung unterzogen. Damit will der EDÖB dem gesteigerten öffentlichen Bedürfnis nach proaktiver Information über gängige technische Applikationen bestmöglich Rechnung tragen. Angepasstes Verfahren im Bereich des Öffentlichkeitsgesetzes (BGÖ) In der Einheit BGÖ sind in den letzten Jahren erhebliche Arbeitsrückstände bei der Behandlung von Schlich- tungsanträgen entstanden. Um zu vermeiden, dass zu deren Abbau wie in den Vorjahren Personal aus dem Datenschutz-Bereich abgezogen werden muss, ist der EDÖB ab dem 1. Januar 2017 zu einem beschleunigten und summarischen Verfahren übergegangen, das sich dadurch charakterisiert, dass in der Regel mündliche Schlichtungsverhandlungen durchgeführt werden (vgl. dazu Ziffer 3.1 des vorliegenden Tätigkeitsberichts). 24. Tätigkeitsbericht 2016/17 9
10 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Datenschutz 24. Tätigkeitsbericht 2016/17 11
1.1 Grundrechte 1.1.1 Verwendung der AHV-Nummer lichen Verwendungen der AHV-Nummer ausserhalb des in Registern: Sozialversicherungsbereichs integral und gleichzeitig Einheitsidentifikator versus betroffen wären, wenn es zu unberechtigten Datenab- sektorenspezifische Lösung flüssen oder -manipulationen käme. Weiter äusserten wir Zweifel daran, ob als sektorenübergreifender Identifi- Im Berichtsjahr haben wir die Rechtskommissionen des kator ausgerechnet die AHV-Nummer als sichere Lösung National- und Ständerates hinsichtlich der Einführung gelten könne, obwohl diese über alle privaten Betriebe der AHV-Versichertennummer für das Handelsregister verbreitet ist. und Grundbuch beraten. Zudem äusserten wir uns zum Dem hält die Verwaltung entgegen, dass die Risiken Vorhaben des Bundesrats, die Verwendung der AHV- für den Datenschutz angesichts der Leistungen moderner Nummer auch ausserhalb des Sozialversicherungsbe- Suchprogramme bei Verwendung sektorenspezifischer reichs systematisch zu ermöglichen. Identifikatoren nicht geringer seien als bei einheitlicher Wir setzen uns seit Jahren für die Verwendung von sek- Verwendung der AHV-Nummer. Wie wir auch anlässlich torenspezifischen Identfikatoren ein (vgl. u.a. unseren seiner Anhörungen durch parlamentarische Kommis- Tätigkeitsbericht 2014/2015, Ziffern 1.1.2 und 1.1.3). sionen darlegten, verschliessen wir uns dieser Argu- Einen solchen haben Bundesrat und Parlament denn mentation nicht generell. Ob aufgrund des technischen auch bei der Patientenidentifikationsnummer nach dem Fortschritts tatsächlich eine Neueinschätzung der Risi- Bundesgesetz über das elektronische Patientendossier ken angezeigt ist, hat die Verwaltung als Verursacherin vorgesehen. Auch mit der Verabschiedung der revidier- dieser Risiken indessen mit wissenschaftlich untermau- ten Bestimmungen zum Handelsregister im Obligatio- erten Fakten belegen zu lassen. Weil vom angestrebten nenrecht hat der Gesetzgeber am 17. März 2017 einen Systemwechsel alle Gemeinwesen der Schweiz und die sektoriellen Identifikator geschaffen, der im Verkehr der Personendaten von Millionen von Menschen betroffen Register gegen aussen sichtbar ist. Damit wird einerseits wären, fordern wir die Erstellung einer Risikofolgenab- die sichere Identifikation der im Register eingetragenen schätzung durch eine unabhängige Fachstelle. Die Daten- Personen gewährleistet; andererseits wird unseren schutzorgane von Bund und Kantonen sollen dann zu datenschutzrechtlichen Bedenken betreffend die miss- gegebener Zeit zu dieser Studie Stellung nehmen können. bräuchliche Verknüpfung von Personendaten Rechnung getragen. Das Eidgenössische Amt für das Handelsregis- ter wird die Ableitung der Nummer vornehmen. 1.1.2 Vernichtung und Löschung Im Berichtsjahr wurden wir in den Rechtskommis- der bei der Bevölkerungszählung sionen des National- und des Ständerats nicht nur zur erhobenen Daten Handelsregistervorlage, sondern auch zur Revision des Grundbuchrechts konsultiert. Nachdem sich der Stän- Im Berichtsjahr haben wir beim Bundesamt für derat in Anlehnung an das Handelsregisterrecht auch Statistik (BFS) eine Sachverhaltsabklärung eröffnet. für das Grundbuch für die Verwendung einer sektoren- Im Fokus der Untersuchung steht namentlich die spezifischen Nummer aussprach, wird diese Frage nun Kontrolle der Vernichtung und Löschung der Daten, die im Frühsommer 2017 von der Rechtskommission des anlässlich der Bevölkerungszählung erhoben werden. Nationalrats behandelt. Uns interessierte, wie das BFS die Volkszählungsdaten Nachdem im Gesundheits- und Registerrecht nach der Erfassung, Bereinigung sowie Kontrolle löscht sektorenspezifische Identifikatoren eingeführt wurden, bzw. vernichtet. Wir erachteten es als notwendig, die in hat der Bundesrat am 1. Februar 2017 das Eidgenössi- diesem Zusammenhang stehenden Prozesse vertiefter sche Departement des Innern damit beauftragt, eine anzuschauen und auf ihre Konformität mit dem Daten- Gesetzesvorlage auszuarbeiten, welche die systemati- schutzgesetz (DSG) zu überprüfen. Einen Augenschein sche Verwendung der AHV-Nummer durch Behörden vor Ort beim BFS haben wir bereits vorgenommen. Als des Bundes, der Kantone und der Gemeinden über den nächstes werden wir die vom BFS erhaltenen Unterlagen Sozialversicherungsbereich hinaus erleichtern soll. Wir und Antworten auf unsere Rückfragen analysieren und sehen darin einen Richtungswechsel oder zumindest prüfen, ob die genannten Prozesse den Anforderungen eine Inkonsistenz zu den vorerwähnten, sektorenspezi- des DSG genügen. fischen Lösungen. Wir wiesen stets darauf hin, dass die Verwaltungen von Bund, Kantonen und Gemeinden bei einer einheit- 12 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
1.1.3 Nutzung der elektronischen 1.1.4 Nationaler Adressdienst Infrastruktur des Bundes: Sachverhaltsabklärungen beim Wir haben im Rahmen einer Ämterkonsultation zur Eidgenössischen Personalamt Schaffung eines nationalen Adressregisters Stellung und beim Bundesamt für Bauten genommen. Unseren Bemerkungen wurde im Wesent- und Logistik lichen Rechnung getragen. Wir werden das Projekt weiterhin aufmerksam verfolgen. Wir haben zwei Kontrollen beim Eidgenössischen Per- Am 12. November 2014 beauftragte der Bundesrat das sonalamt (EPA) und beim Bundesamt für Bauten und Eidgenössische Justiz- und Polizeidepartement (EJPD), Logistik (BBL) betreffend einen Teil der Nutzung der die verschiedenen Möglichkeiten zur Schaffung eines elektronischen Infrastruktur des Bundes durchgeführt nationalen Adressregisters zu prüfen und ihm vor Ende und sind zum Schluss gekommen, dass die angewen- 2016 einen Vorschlag zu unterbreiten (vgl. unseren dete Dauer der Datenaufbewahrung den gesetzlichen 23. Tätigkeitsbericht 2015/2016, Ziff. 1.1.3). Anforderungen entspricht. Diese Studie unter der Leitung eines vom Bundes- Im Berichtsjahr überprüften wir im Rahmen unserer amt für Justiz (BJ) beauftragten Experten gelangte zum Aufsichtstätigkeit, ob die Daten, die bei der Nutzung Schluss, dass die optimale Lösung in der Einrichtung der elektronischen Infrastruktur des Bundes anfallen, eines Registers auf Bundesebene (Nationaler Adress- rechtzeitig und korrekt vernichtet werden. Bei dieser dienst – NAD) liegt, das die derzeit vom Bundesamt Kontrolle ging es darum zu verstehen, wie die Vernich- für Statistik (BFS) zu statistischen Zwecken erhobenen tung dieser Daten konkret erfolgt, und zu beurteilen, ob Adressdaten verwendet. Dafür müsste eine Überleitung die Aufbewahrungsdauer eingehalten wird. In diesem geschaffen werden, um den Datentransfer vom BFS zum Kontext eröffneten wir zwei Sachverhaltsabklärungen: NAD sicherzustellen. Die Organisation des NAD soll von Die erste erfolgte beim EPA und betraf die Daten über dem bisher durch das BFS geführten Register unabhän- die Arbeitszeiten des Personals im Sinne des Regierungs- gig sein. Die Kosten könnten durch die Erhebung einer und Verwaltungsorganisationsgesetzes (RVOG) mit ei- Gebühr gedeckt werden. Rechtlich gesehen kann die ner Aufbewahrungsdauer von höchstens fünf Jahren. Das Schaffung des NAD im Anschluss an eine Änderung des zweite Verfahren wurde beim BBL eingeleitet und bezog Registerharmonisierungsgesetzes (RHG) erfolgen. Die sich auf die Daten über das Betreten oder Verlassen von technischen und organisatorischen Details des NAD sind Gebäuden und Räumen der Bundesorgane und über den noch zu präzisieren. Aufenthalt darin. Diese Daten dürfen während maximal Der Bundesrat muss sich zur Schaffung des NAD drei Jahren aufbewahrt werden. äussern und das EJPD beauftragen, ihm mit der techni- Da unsere Lageanalyse keine Hinweise auf mögliche schen Unterstützung des BFS bis Ende 2018 einen Ent- Verfehlungen betreffend die in der Verordnung über die wurf zwecks externer Vernehmlassung zu unterbreiten. Bearbeitung von Personendaten vorgesehene Aufbewah- Im Rahmen der Ämterkonsultation wurden wir auf- rungsdauer ergab, haben wir die Kontrollen ohne Abgabe gefordert, Stellung zu nehmen zum Fortschrittsbericht von Empfehlungen abgeschlossen. Wir stellten fest, dass über den Adressdatenaustausch zwischen den Einwoh- die Aufbewahrungsdauer die in der Verordnung vorge- nerregistern und anderen Dateninhabern. Unsere Bemer- gebenen Fristen nicht überschreitet und demnach die kungen sind im Wesentlichen berücksichtigt worden. Sie Anforderungen des Datenschutzgesetzes erfüllt. betrafen die genauen Zwecke eines solchen Dienstes, die Rolle des BFS – Garant der statistischen Geheimhaltung und einer seinem gesetzlichen Auftrag entsprechenden Datennutzung -, die Aufbewahrungsdauer der Adressen, den Kreis der Nutzungsberechtigten, die Verhältnismäs- sigkeit der Datenerhebung, die Genauigkeit der Daten im Falle einer nicht unmittelbaren Aktualisierung, die Organisation des NAD und der Aufsichtsbehörde sowie die technischen und organisatorischen Massnahmen, die zur Gewährleistung des Datenschutzes getroffen werden. Als Mitglieder der Arbeitsgruppe werden wir das Projekt weiter aufmerksam verfolgen und sicherstellen, dass angesichts der in der Folge noch anzubringenden technischen und organisatorischen Präzisierungen die vorgeschlagene Variante dem Datenschutz gerecht wird. 24. Tätigkeitsbericht 2016/17 13
1.1.5 Videoaufnahmen in Schwimm- bädern zu Trainingszwecken Videoaufnahmen in Schwimmbädern können die Intim- sphäre der Badegäste tangieren. Deswegen muss bei Trainingseinheiten, bei denen Videoanalysen zum Einsatz kommen, sichergestellt werden, dass sich keine unbeteiligten Badegäste im Aufnahmebereich aufhalten. Videoanalysen haben sich als Trainingsinstrument in diversen Sportarten etabliert und leisten beispielsweise bei der Optimierung von Bewegungsabläufen wertvolle Dienste. So ist es nicht weiter verwunderlich, dass auch Schwimmtrainer gerne darauf zurückgreifen. Wenn das Schwimmtraining dabei in einem öffentlichen Bad durchgeführt wird, kann dies jedoch zu heiklen Situati- onen für den Persönlichkeitsschutz führen. Unterwasseraufnahmen in öffentlichen Schwimm- bädern können die Intimsphäre der Betroffenen tangieren, was sich durch Trainingszwecke allein nicht rechtfertigen lässt. Dementsprechend dürfen solche Aufnahmen nur mit der expliziten Einwilligung aller Betroffenen erstellt werden. Das Einholen einer solchen Einwilligung bei den gefilmten Sportlerinnen und Sportler bereitet vergleichs- weise wenig Probleme. Ein vom Bundesamt für Sport (BASPO) zum Thema veröffentlichtes Informationsblatt gibt hier weiter Auskunft (www.mobilesport.ch). Bei unbeteiligten Badegästen hingegen kann die explizite Einwilligung nur sehr schwer eingeholt wer- den. Eine gültige Einwilligung setzt voraus, dass die betroffenen Personen über alle wesentlichen Aspekte der Videoaufzeichnung informiert worden sind. Dies beinhaltet nebst der Tatsache, dass solche Aufnahmen gemacht werden, insbesondere auch deren Zweck, deren Aufbewahrungsdauer und wer die Aufnahmen ansehen kann. Die Einwilligung muss zudem freiwillig erfolgen, das heisst, die Betroffenen müssen das Schwimmbad nutzen können, ohne dabei gefilmt zu werden. Es dürfte sich als kaum praktikabel erweisen, bei Normalbetrieb des Bades sämtliche sich zufällig im Aufnahmebereich aufhaltenden Badegäste ausreichend zu informieren und den allfällig geäusserten Willen, nicht gefilmt zu werden, zu berücksichtigen. Dement- sprechend muss der Datenbearbeiter sicherstellen, dass sich nur Teilnehmer der Trainingseinheit im fraglichen Bereich aufhalten. Dies lässt sich zum Beispiel erreichen, indem man Videoanalysen nur ausserhalb der offiziellen Öffnungszeiten des Bades durchführt. 14 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
1.2 Datenschutzfragen allgemein 1.2.1 Revision des Bundesgesetzes tend machen zu können oder das Recht zu erfahren, auf über den Datenschutz welche Weise solche Entscheidungen getroffen werden. Die Revision zielt auch auf eine Verstärkung und Kon- Am 21. Dezember 2016 hat der Bundesrat den Vorent- kretisierung der Verpflichtungen der Verantwortlichen wurf für die Revision des Bundesgesetzes über den für die Bearbeitung ab. Sie sieht namentlich die Pflicht Datenschutz in die Vernehmlassung geschickt. Ziel vor, Datenschutzverletzungen zu melden, Datenschutz- dieser Revision sind die Anpassung unserer Gesetzge- Verträglichkeitsprüfungen durchzuführen und die bung an die neuen Technologien, die Verstärkung des Bearbeitungen zu dokumentieren. Sie führt auch den Datenschutzes und der Attraktivität der Schweiz für Grundsatz des Datenschutzes bereits bei der Planung als das digitale Zeitalter. Die Revision soll es der Schweiz Standard ein (Privacy by Design). insbesondere ermöglichen, sich den neuen europä- Mit der Revision sollen zudem die Kompetenzen ischen Standards anzunähern und weiterhin über des EDÖB erweitert werden, indem er eine Entschei- ein angemessenes Datenschutzniveau zu verfügen. dungsbefugnis erhält. Er sollte künftig auch Empfeh- Für uns ist es wichtig, dass die Revision rasch zum lungen der guten Praxis abgeben können, die in Zusam- Abschluss gebracht wird. menarbeit mit den betroffenen Kreisen ausgearbeitet Das Bundesgesetz über den Datenschutz (DSG) gehört werden; ausserdem wird er zwingende Vorschriften zu den Datenschutzgesetzen der ersten Generation. Es für Unternehmen im Rahmen eines Datentransfers ins stammt aus der Zeit vor dem Internet, den Smartphones Ausland genehmigen oder anerkennen können. Er wird und dem Internet der Dinge. Eine Revision ist unum- befähigt, Standardvertragsklauseln zu erlassen, anzuer- gänglich, um den neuen Herausforderungen der digita- kennen oder zu genehmigen. Dagegen wird es in Zukunft len Gesellschaft gerecht zu werden und die Achtung der Aufgabe des Bundesrates sein, Beschlüsse betreffend das Rechte und Grundfreiheiten der Menschen bei der Bear- angemessene Schutzniveau eines Drittstaates zu fassen. beitung sie betreffender Daten besser zu gewährleisten. Die Möglichkeiten der Zusammenarbeit mit an- Mit der Revision soll auch der Reform des europäischen deren Datenschutzbehörden in der Schweiz und im Rechtsrahmens und insbesondere der Modernisierung Ausland und der Amtshilfe werden verbessert. Um seine des Übereinkommens des Europarates zum Schutz des derzeitigen und künftigen Aufgaben glaubwürdig und ef- Menschen bei der automatischen Verarbeitung perso- fektiv wahrnehmen zu können, wird der EDÖB indessen nenbezogener Daten (Übereinkommen 108) Rechnung zusätzliche Ressourcen und Mittel benötigen, wie der er- getragen werden. Im Auftrag des Bundesrates hat das läuternde Bericht zum Vorentwurf betont. Er sollte über Bundesamt für Justiz einen Entwurf zur Totalrevision ein eigens dafür vorgesehenes Budget verfügen, ähnlich des DSG ausgearbeitet. Diesen Entwurf hat der Bundesrat dem für die eidgenössische Finanzkontrolle gewählten am 21. Dezember 2016 in die Vernehmlassung gegeben. Modell. Ausserdem strebt die Revision eine bedeutende Wir haben an den Revisionsarbeiten mitgewirkt Erweiterung der strafrechtlichen Sanktionen an, wenn- und unseren Standpunkt in der Arbeitsgruppe und im gleich die Höhe der Sanktionen gegenüber der europäi- Ämterkonsultationsverfahren eingebracht. Der Entwurf schen Verordnung geringer ausfällt. Schliesslich wird entspricht unseren Erwartungen weitgehend. Einige die Pflicht zur Anmeldung von Datensammlungen oder Punkte müssen indes erneut geprüft werden, damit -bearbeitungen im Privatsektor abgeschafft. Das Register unsere Gesetzgebung im Einklang mit dem revidierten der Datensammlungen wird künftig nur noch die Bear- Übereinkommen 108 steht und sich dem europäischen beitungen durch Bundesorgane erfassen. Rechtsrahmen stärker annähert. Eine solche Annäherung Wir anerkennen die Qualität der Revisionsvorlage, würde eine grössere Rechtssicherheit bieten, was nicht sind aber der Ansicht, dass sie ergänzt werden müsste. nur den betroffenen Personen, sondern auch den Daten- So haben wir im Ämterkonsultationsverfahren unter bearbeitern und dem Wirtschaftsstandort Schweiz zum anderem vorgeschlagen, die Stellung der betroffenen Vorteil gereicht. Personen zu stärken, namentlich mit einem Wider- Die Revision soll das Recht auf Datenschutz stär- spruchsrecht gegen die Bearbeitung, einem Recht auf ken, damit jedermann eine bessere Kontrolle über die Datenübertragbarkeit sowie einem Auslistungsrecht als ihn betreffenden Informationen erlangt. Dies erfordert Ergänzung zum Recht auf Löschung. Die Verantwortli- eine grössere Transparenz der Bearbeitungen und die chen von Bearbeitungen, die ein besonderes Risiko für Gewährung neuer Rechte, etwa das Recht, seinen die Privatsphäre darstellen, sollten zur Ernennung eines Standpunkt vor einer automatischen Entscheidung gel- Datenschutzberaters verpflichtet werden. Diese Aufgabe 24. Tätigkeitsbericht 2016/17 15
wird in zahlreichen Unternehmen bereits umfassend schutz setzt allerdings voraus, dass der Datenbearbeiter wahrgenommen, ist Gegenstand von Lehrgängen und weiss, welche Daten er wie bearbeitet. Deshalb haben wir bildet ein wirksames Instrument zur Umsetzung des angeregt, die Projektträger zu verpflichten, die geplanten Datenschutzes in Unternehmen und in der Verwaltung. Datenbearbeitungen angemessen zu dokumentieren Schliesslich sollte das DSG auch für Datenbearbeiter und eine Analyse zu ihren potenziellen Auswirkungen gelten, die keinen Sitz in der Schweiz haben, deren Be- auf die Rechte der betroffenen Personen vorzunehmen. arbeitungen aber ihre Wirkung in der Schweiz entfalten Als weitere Massnahme der Strategie wurde eine Arbeits- und hier niedergelassene Personen betreffen. Diese Un- gruppe geschaffen, welche ein Aussprachepapier zur ternehmen sollten verpflichtet werden, einen Ansprech- Datenpolitik der Schweiz erstellen soll. Wir sind in dieser partner in der Schweiz zu haben, insbesondere um die Arbeitsgruppe vertreten und haben insbesondere betont, Wahrnehmung der Rechte der betroffenen Personen zu dass der Daten- und Persönlichkeitsschutz auch langfris- erleichtern. Das Verhältnis zwischen unserer Gesetzge- tig sichergestellt werden muss. Ebenfalls regten wir an, bung und der europäischen Verordnung, namentlich ihre den betroffenen Personen auch künftig ein Wahlrecht Auswirkungen in der Schweiz oder für schweizerische in Bezug auf die Verwendung ihrer Daten einzuräumen. Bearbeitungsverantwortliche mit Bearbeitungstätigkei- Zudem konnten wir die Wichtigkeit der Unterscheidung ten in Europa, wirft in der Schweiz und in Europa zahl- zwischen Personen- und Sachdaten betonen, welche reiche legitime Fragen auf. In diesem Sinne begrüssen wir entscheidend ist für die Anwendung der Schutzbestim- die Motion 16.3752 der FDP-liberalen Fraktion «Gegen mungen des DSG. Doppelspurigkeiten im Datenschutz», in welcher der Nicht zuletzt haben wir zum Bericht zur Aussen- Bundesrat beauftragt wird, mit der Europäischen Union wirtschaftspolitik 2016 und den Botschaften zu Wirt- eine Vereinbarung zur Koordinierung der Anwendung schaftsvereinbarungen sowie zum Bericht über zolltari- des jeweils geltenden Rechts anzustreben. farische Massnahmen im Jahr 2016 Stellung genommen. Wir werden die Entwicklung der Revisionsvorlage Der Bericht setzt sich mit den Chancen und Herausforde- auch im Anschluss an das externe Vernehmlassungsver- rungen der Globalisierung und Digitalisierung auseinan- fahren aktiv verfolgen. der, ohne aber den in diesem Zusammenhang wichtigen Schutz der Persönlichkeit der betroffenen Personen zu erwähnen. Wir haben darauf hingewiesen, dass dies 1.2.2 Strategie «Digitale Schweiz» gerade wegen den aktuellen Verhandlungen zu Freihan- delsabkommen notwendig wäre. Im Rahmen von Ämterkonsultationen und Arbeitsgrup- pen haben wir zur Umsetzung der Strategie «Digitale Schweiz» des Bundesrates Stellung genommen und 1.2.3 Öffentlicher Verkehr: dabei die datenschutzrechtlichen Anforderungen Umsetzung der Empfehlung erläutert. Wir setzen uns dafür ein, dass Persönlich- zum SwissPass keitsverletzungen bereits im Voraus verhindert werden. und weitere Beratung Dazu müssen bereits bei der Planung eines Projektes angemessene Schutzmassnahmen eingebaut werden. Im Rahmen einer Sachverhaltsabklärung haben wir im Mit der Strategie «Digitale Schweiz» hat der Bundesrat Berichtsjahr die Umsetzung unserer Empfehlung zum 2014 eine neue Datenpolitik genehmigt. Diese zielt da- SwissPass überprüft. Wir werden der Transportbran- rauf ab, die Chancen der Digitalisierung konsequent zu che weiterhin beratend zur Seite stehen. nutzen, damit sich die Schweiz u.a. als innovativer, zu- Im Verlauf des Jahres haben wir die Umsetzung unse- kunftsorientierter Wirtschafts- und Forschungsstandort rer Empfehlung und der Verbesserungsvorschläge in positionieren kann. Die einzelnen Massnahmen der Stra- Sachen SwissPass überprüft (vgl. Ziff. 1.2.1 unseres tegie werden in einem Aktionsplan definiert. 23. Tätigkeitsberichts 2015/2016). Dabei ging es vor Eine Massnahme der Strategie umfasst die zent- allem darum sicherzustellen, dass die Kontrolldaten in ralen Rahmenbedingungen für die digitale Wirtschaft, Zusammenhang mit dem SwissPass einerseits gelöscht welche in einem Bericht ausgeführt werden. Bei der und andererseits nicht mehr erhoben werden. In diesem Ämterkonsultation zu diesem Bericht wiesen wir dar- Zusammenhang führten wir zwei Nachkontrollen vor auf hin, dass datenschutzrechtliche Aspekte bereits in Ort durch, an denen sowohl die SBB als auch der Ver- der Planungs- und Entwicklungsphase von digitalen band öffentlicher Verkehr (VöV) anwesend waren. Zur Wirtschaftsprojekten berücksichtigt werden müssen. Umsetzung der Empfehlung wurde insbesondere die So sollen bereits zu Beginn eines Projektes angemessene Software der Lesegeräte angepasst. Die verschiedenen Schutzmassnahmen eingebaut werden, um allfällige Transportunternehmen mussten diese übernehmen und Gesetzesverstösse zu verhindern. Ein effektiver Daten- herunterladen. Gleichzeitig löschten die Verantwort- 16 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
lichen die bereits erhobenen SwissPass-Kontrolldaten angeben. Sollen die Daten nicht nur für die Berechnung rückwirkend. Weiter übernahmen alle Transportunter- des Fahrpreises und die Rechnungstellung, sondern für nehmen die Allgemeinen Geschäftsbedingungen (AGB) weitere Zwecke, wie Marketing erfolgen, braucht es auch für die Halbtax- und Generalabonnemente, die im Sinne hierfür eine angemessene Information und Einwilligung unseres Verbesserungsvorschlags auf den 1. Juni 2016 der Person. Auf unübliche Datenbearbeitungen ist spezi- angepasst wurden. ell hinzuweisen. Die Bearbeitung von Bewegungsprofilen Da unsere Empfehlung vom 4. Januar 2016 somit erfordert zudem eine ausdrückliche Einwilligung (z. B. in umgesetzt wurde, schlossen wir die Sachverhaltsabklä- Form eines Opt-in anstelle eines Opt-out). Die erhobe- rung ab. nen Personendaten gilt es verschlüsselt zu übermitteln. Wir stehen weiterhin in Kontakt mit dem VöV und Die Transportbetriebe müssen zudem technische der gesamten Transportbranche und begleiten diese im und organisatorische Massnahmen zum Schutz der Rahmen unserer Beratungsfunktion. Dabei gilt es auch Daten ergreifen. Die Bewegungsdaten sind möglichst sicherzustellen, dass die weitere Entwicklung des Swiss- zu pseudonymisieren oder zu anonymisieren. Für die Pass in Einklang mit dem Datenschutz erfolgt. Auch mit Regulierung von Personenaufkommen und der Auslas- dem Bundesamt für Verkehr (BAV), das die Schaffung ei- tung des Rollmaterials genügen anonymisierte Daten. ner gesetzlichen Grundlage prüft, stehen wir in Kontakt. Sobald die Daten nicht mehr für Abrechnungszwecke benötigt werden, sind diese zu löschen resp. zu anony- misieren. Weiter dürfen nur diejenigen Mitarbeitenden 1.2.4 Elektronisches Ticketing und Personen Zugang zu den Daten haben, die diese für die Erfüllung ihrer Aufgaben benötigen. Diese Personen Das elektronische Ticketing wirft viele datenschutz- sind datenschutzrechtlich zu schulen und zu sensibili- rechtliche Fragen auf. Es muss insbesondere freiwillig sieren. Schliesslich muss die korrekte Handhabung von und nach angemessener Information des Reisenden Auskunftsgesuchen betroffener Personen sichergestellt erfolgen. Aber auch die übrigen datenschutzrecht- sein, sodass sie erfahren, ob und welche Daten über sie lichen Voraussetzungen sind zu berücksichtigen. bearbeitet werden. Einzelne Transportunternehmen gelangten in Zusam- menhang mit der Einführung des elektronischen Ticketing an uns. Das elektronische Ticketing kann unterschiedlich ausgestaltet sein. Um das Angebot nut- zen zu können, muss die reisende Person vorgängig die entsprechende App auf ihr mobiles Gerät herunterladen und sich anmelden. Die Erfassung der Reise erfolgt automatisch, in gewissen Fällen müssen Start und Ende der Reise per Knopfdruck bestätigt werden. Von den Reisenden werden Bewegungsprofile erhoben, die zur Rechnungstellung benötigt werden. Jedes elektronische Ticketing-System ist daraufhin zu prüfen, ob es datenschutzkonform ist. Nachfolgend wird lediglich auf die wichtigsten Punkte hingewiesen. Zentral ist, dass es auf freiwilliger Basis erfolgt, die rei- sende Person über die Datenbearbeitungen informiert ist und dazu ihre Einwilligung abgibt. Ein Widerruf muss jederzeit möglich sein. Es muss klar sein, wer Datenin- haber ist; diese Information kann über die AGB erfolgen. Die betroffene Person muss insbesondere wissen, wer welche Daten über sie bearbeitet und wie lange diese aufbewahrt werden. Dabei sind nur diejenigen Daten zu bearbeiten, die tatsächlich geeignet sind und benötigt werden (Verhältnismässigkeitsprinzip). Grundsätzlich dürfen Transportunternehmen kei- ne Bewegungsdaten an Dritte bekannt geben. So dürfen sie beispielsweise einem für die Rechnungstellung beauf- tragten Kreditkartenunternehmen nur den Gesamtbetrag, nicht aber die gemachten Fahrten oder Bewegungsdaten 24. Tätigkeitsbericht 2016/17 17
1.3 Internet und Telekommunikation 1.3.1 Abschluss der Sachverhalts- Unabhängig von der Anpassung des zukünftigen Instal- abklärung zu Windows 10 lationsprozesses haben die Nutzer von Windows 10 die Möglichkeit, die Datenbearbeitung und -übermittlungen Der EDÖB hat im Berichtsjahr die Sachverhaltsabklä- jederzeit in den Systemeinstellungen anzupassen. rung zum Betriebssystem Windows 10 von Microsoft Wir erachten die erreichte Lösung, insbesondere abgeschlossen. Das Unternehmen hat unsere Empfeh- die direkte Verlinkung zu den relevanten Passagen der lungen zur Verbesserung der Transparenz der Datenbe- Datenschutzerklärung und die Wahlmöglichkeiten, als arbeitung und der diesbezüglichen Wahlmöglichkeiten Mindeststandard für Anwendungen und Dienste anderer umgesetzt. Unternehmen. Bei künftigen Abklärungen werden wir Bei der 2015 eröffneten Abklärung zu Windows 10 (vgl. die zu überprüfenden Datenbearbeitungen an der mit 23. Tätigkeitsbericht 2015/2016, Ziffer 1.3.1), stellten Microsoft erzielten Lösung messen. wir fest, dass die Datenbearbeitung im Rahmen von Windows 10 teilweise nicht datenschutzkonform verlief. So genügten der Seitenaufbau und der Inhalt der Seiten 1.3.2 Neue Datenschutzbestimmungen «Schnell einsteigen» und «Einstellungen anpassen» nur von Swisscom beschränkt den Anforderungen an eine transparente In- formation. Aus inhaltlicher Sicht fehlten Informationen Im Berichtsjahr hat uns Swisscom über geplante neue zur Speicherdauer der übermittelten Daten, zum Inhalt Datenbearbeitungen informiert. In der anschliessen- von Browserdaten sowie zum Inhalt von Feedback- und den Beratung erläuterten wir dem Unternehmen die Diagnosedaten. Zudem war es für die Nutzer umständ- gesetzlichen Pflichten in Zusammenhang mit der Infor- lich, bei den einzelnen Datenbearbeitungen weiterge- mation und der Einwilligung der Kunden. hende Informationen, z. B. aus den relevanten Passagen Das Telekommunikationsunternehmen Swisscom hat der Datenschutzerklärung, nachzuschlagen. Wir erlies- 2016 verschiedene Änderungen in der Kundendaten- sen deshalb mehrere Empfehlungen. bearbeitung vorgenommen. Diese zielen darauf ab, den Microsoft hat uns in der Folge Vorschläge zur Behe- Kunden persönlich zugeschnittene Werbeangebote bung der festgestellten Mängel vorgelegt. Unsere Rück- zustellen zu können. Zudem sollen gewisse nicht-per- meldungen wurden von Microsoft eingearbeitet, so dass sonenbezogene Daten dem Werbenetzwerk Admeira zur eine datenschutzkonforme Umsetzung der Empfehlun- Verfügung gestellt werden. Die Firma beabsichtigte, ihre gen erreicht und auf ein Verfahren vor dem Bundesver- Kundschaft in einer separaten Datenschutzerklärung waltungsgericht verzichtet werden konnte. Mit den nun über diese Umstände zu informieren und die allgemeinen festgelegten Anpassungen werden die Angaben zu den Geschäftsbedingungen entsprechend anzupassen. Sie bat Datenbearbeitungen präzisiert. Zudem werden die Nut- uns, zu den geplanten Neuerungen Stellung zu nehmen. zer mit der neuen Einstellungsseite während dem Instal- Wie unsere Prüfung der Unterlagen ergab, fallen lationsprozess klar darauf hingewiesen, dass sie die Da- durch den Ausbau der Datenbearbeitung Persönlich- tenbearbeitungen und -übermittlungen im Rahmen von keitsprofile im Sinne des Datenschutzgesetzes an. Da Windows 10 festlegen und in diese einwilligen müssen. die Daten zu einem neuen Zweck (Marketing) bearbeitet Die technische Umsetzung der von uns geforderten werden, ist ein Rechtfertigungsgrund erforderlich. Im Anpassungen erfolgt weltweit über die beiden für 2017 hier zu beurteilenden Fall kommt nur die Einwilligung geplanten Softwarereleases von Windows 10. Im ersten der betroffenen Personen in Frage. Gemäss Datenschutz- Release werden allen Benutzern bei der Neuinstallation gesetz ist die Bearbeitung von Persönlichkeitsprofilen bzw. bei einem Update auf dieses Betriebssystem die Ein- nur zulässig, wenn die betroffenen Personen ausdrück- stellungsmöglichkeiten der Datenübermittlungen mit lich zugestimmt haben. Dem Datenbearbeiter obliegt umfangreicheren Informationen angezeigt. Im zweiten eine erweiterte Informationspflicht: Er muss zusätzlich Release können die Benutzer beim Installationsprozess am Ort, wo der Kunde seine Zustimmung schriftlich zusätzlich direkt auf die entsprechende Passage in der Da- oder elektronisch kundtut, über die Beschaffung von tenschutzerklärung zugreifen. Die Verlinkung zu weiter- Persönlichkeitsprofilen informieren, damit eine gültige führenden Informationen in der Datenschutzerklärung Einwilligung vorliegt. Er kann dabei auf die betreffenden erhöht die Transparenz und erleichtert es den Benutzern, Ziffern in der separaten Datenschutzerklärung verweisen sich in der umfangreichen und ausführlichen Erklärung und dort die relevanten Informationen weiter ausführen. zurecht zu finden. Die Kunden haben das Recht, der Bearbeitung ihrer 18 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Sie können auch lesen